Blog Address：https://blog.51cto.com/14669127

塔什庫爾干塔吉克ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18980820575（備注：SSL證書合作）期待與您的合作！

自2010年以來，隨著云平臺的不斷推廣和完善，很多企業(yè)都走上了云服務(wù)，保證了數(shù)據(jù)在公有云上管理的安全、可擴(kuò)展的同時也減少了IT運(yùn)維和維護(hù)的相關(guān)工作。

近幾年來越來越多的企業(yè)先后把用戶從本地Domain Controller 和Exchange服務(wù)器等平臺都遷移到云端平臺管理，為了方便管理員對實施方案的理解和部署實施的透明清晰化，這里分享一下相關(guān)經(jīng)驗，供大家學(xué)習(xí)和討論。

本文以部署Azure AD Connect （免費(fèi)的工具，包含在Azure 訂閱中）作為用戶從On Premise Server 同步到Azure AD的解決方案，為什么要選擇Azure AD Connect 作為交付的解決方案呢？是因為Azure AD connect是微軟為滿足和實現(xiàn)Hybrid 身份而設(shè)計的工具，它取代了老版本的身份集成工具，比如DirSync和Azure AD Sync，它可以將On Premise的Active Directory與Azure AD集成，用戶訪問Cloud或者On Premise資源時提供公共標(biāo)識從而提高用戶的工作效率，比如用戶可以使用單一身份訪問本地應(yīng)用程序和云服務(wù)，比如Office 365.

部署Azure AD Connect之前，需要考慮以下7個考量點(diǎn)：

1.Azure AD
○ 你需要使用Azure Portal或者Office 365 Portal來管理Azure AD Connect
○ Domain，需要添加和驗證一個有效的domain，不能使用default domain （contoso.onmicrosoft.com）
○ 一個Azure AD默認(rèn)是50 K Objects，當(dāng)你verify domain時，objects limit會達(dá)到300 k objects，如果你在Azure AD中需要更多的Objects，需要提交ticket為微軟放開限制。
2.On-premise data
○ 在同步Azure AD和Office 365之前，建議使用IdFix來識別Active Directory中重復(fù)和格式化問題等錯誤
○ 確保Azure AD中啟用了Sync Features
§ On Premises：Azure AD Connect sync（sync engine）
§ Azure AD：Azure AD Connect Sync Service
3.On-Premises Active Directory
○ AD Schema 版本和Forest functional level必須是Windows Server 2003以及以上版本
○ 如果你計劃使用Password writeback，那么domain controller必須是Windows Server 2008 R2以及以上
○ 確保Azure AD使用的domain controller是可寫入權(quán)限
○ 推薦啟用Active Directory Recycle Bin
4.Azure AD Connect Server
○ Azure AD Connect不能安裝在Small Business Server，必須是Windows Server 2012 standard或者以上，
○ 不推薦Azure AD Connect安裝在Domain Controller上，需將部署Azure AD Connect的Server作為domain member
○ 如果部署ADFS，那么Server必須安裝在Windows Server 2012以及以上版本
○ 如果部署ADFS，需要SSL Certificates以及配置，name resolution
○ 如果global admin啟用了MFA，那么需要在瀏覽器的trusted site list里信任該URL
https://secure.aadcdn.microsoftonline-p.com
○ （單項同步，非必要步驟）Microsoft建議加強(qiáng)Azure AD Connect Server，降低安全***
§ Securing administrators groups
§ Securing built-in administrator accounts
§ Security improvement and sustainment by reducing attack surfaces
§ Reducing the Active Directory attack surface

5.Azure AD Connect 需要的SQL Server
○ Azure AD Connect 需要SQL Server Database用來存儲identity data，我們也可以在部署時直接選用Express模式，會使用SQL Server Express做存儲，有10 GB存儲空間，可以管理100,000個objects。如果你需要管理更多的Directory objects，那么需要部署SQL Server（Microsoft SQL Server from 2012）
6.Accounts
○ Azure AD Global Administrator 賬戶
○ Active Directory Admin on premise（Exchange Admin）
7.Connectivity
○ DNS服務(wù)器必須能夠解析到on-premises Active Directory和Azure AD endpoints的名稱。
○ 如果你的內(nèi)部網(wǎng)有防火墻，需要在Azure AD連接服務(wù)器和你的域控制器之間打開端口

    ○ Azure AD Connect 和 Azure AD通信協(xié)議和端口

部署Azure AD Connect 相關(guān)總結(jié)：

1.部署Azure AD Connect之前，需要在Azure AD （Office 365） Add and verify Domain （同時也需要Godaddy進(jìn)行相關(guān)配置），否則在配置Azure AD Connect時 sign in Azure AD 會失效。

2.https://www.microsoft.com/en-us/download/details.aspx?id=47594 下載并安裝Azure AD Connect
3.如果你是single-forest domain并且使用Password hash synchronize作為身份驗證，那么可以使用默認(rèn)的Express settings進(jìn)行安裝和部署Azure AD Connect

4.如果從On Premise Active Directory 同步用戶+ attributes+organization時非全部同步，而是按照OU分批同步或者 user attribute 同步有特殊要求，那么需要在最終configure 步驟，取消勾選“start the synchronization process when Configuration completes”復(fù)選框

參考文章：

• https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-ports
• https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-recycle-bin
• https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-prerequisites
• https://docs.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs
• https://docs.microsoft.com/en-us/azure/active-directory/hybrid/tshoot-connect-connectivity